За унапређење Знање и образовање, и Наука и технологија Генерално, увек је било од највеће важности примена боље и ефикасније акције, мере или препоруке (Добре праксе) за постизање крајњег циља, довести до плода било која активност или процес.
И то програмирање или Развој софтвера Као и свака друга ИТ и професионална делатност, и она има своју „Добре праксе“ повезан са многим сферама, посебно оним повезаним са Циберсецурити произведених софтверских производа. И у овом посту ћемо представити неке «Добре праксе сигурног кодирања », са занимљиве и корисне веб странице под називом „Вики са сигурним кодом“, толико о Развојне платформе слободни и отворени, као приватни и затворени.
Пре него што уђемо у тему, као и обично, оставићемо касније неке линкове до претходних публикација везаних за тему «Добре праксе у програмирању или развоју софтвера ».
"... Добре праксе које је осмислио и ширио "Кодекс за развојну иницијативу" Међуамеричке развојне банке, о делокругу Софтвер за лиценцу, што се мора предузети при развоју софтверских производа (дигиталних алата), посебно бесплатних и отворених." Лиценце за развој слободног и отвореног софтвера: Добре праксе
Вики са сигурним кодом: Добре праксе сигурног кодирања
Шта је Вики о сигурном коду?
Као што каже његов текст сајт:
"Вики са сигурним кодом врхунац је сигурних пракси кодирања за широк спектар језика."
И ти си добре праксе и веб страницу „Вики са сигурним кодом“ су створили и одржавали индијска организација тзв Паиату.
Примери добре праксе према врстама програмских језика
Пошто је веб локација на енглеском, показаћемо неке примери сигурног кодирања о разним програмски језици, неке бесплатне и отворене, а друге приватне и затворене, нуди их наведена веб локација за истражити потенцијал и квалитет садржаја натоварен.
Поред тога, важно је то нагласити Добра пракса приказан на Развојне платформе следећи:
- . НЕТ
- Јава
- Јава за Андроид
- Котлин
- НодеЈС
- Објецтиве Ц
- PHP
- Питон
- рубин
- Брз
- WordPress
Подељени су у следеће категорије за радне језике:
- А1 - Ињекција (Ињекција)
- А2 - Аутентификација је прекинута (Неисправна аутентификација)
- А3 - Изложеност осетљивих података (Изложеност осетљивим подацима)
- А4 - КСМЛ спољни ентитети (КСМЛ спољни ентитети / КСКСЕ)
- А5 - Неисправна контрола приступа (Неисправна контрола приступа)
- А6 - Безбедносна деконфигурација (Сигурносна погрешна конфигурација)
- А7 - Цросс Сите Сцриптинг (Цросс-Сите Сцриптинг / КССС)
- А8 - Несигурна десериализација (Несигурна десеријализација)
- А9 - Коришћење компонената са познатим рањивостима (Коришћење компонената са познатим рањивостима)
- А10 - Недовољна регистрација и надзор (Недовољно евидентирање и надзор)
Такође подељен у следеће категорије за мобилне језике:
- М1 - Неправилна употреба платформе (Неправилна употреба платформе)
- М2 - Несигурно складиштење података (Несигурно складиштење података)
- М3 - Несигурна комуникација (Несигурна комуникација)
- М4 - Небезбедна аутентификација (Несигурна аутентификација)
- М5 - недовољна криптографија (Недовољна криптографија)
- М6 - Небезбедно овлашћење (Несигурно овлашћење)
- М7 - Квалитет шифре купца (Квалитет клијентског кода)
- М8 - Манипулација кодом (Неовлашћено кодовање)
- М9 - Обрнути инжењеринг (Обрнути инжењеринг)
- М10 - чудна функционалност (Вањска функционалност)
Пример 1: .Нет (А1- Ињецтион)
Коришћење објектног релационог мапирања (ОРМ) или ускладиштених процедура је најефикаснији начин за сузбијање рањивости СКЛ убризгавања.
Пример 2: Јава (А2 - аутентификација је прекинута)
Кад год је то могуће, примените вишефакторску потврду идентитета како бисте спречили аутоматско пуњење акредитива, грубу силу и поновну употребу напада на украдене акредитиве.
Пример 3: Јава за Андроид (М3 - несигурна комуникација)
Неопходно је применити ССЛ / ТЛС на транспортне канале које мобилна апликација користи за пренос осетљивих информација, токена сесија или других осетљивих података на позадински АПИ или веб услугу.
Пример 4: Котлин (М4 - несигурна аутентификација)
Избегавајте слабе обрасце
Пример 5: НодеЈС (А5 - Лоша контрола приступа)
Контроле приступа модела треба да намећу власништво над записима, уместо да дозволе кориснику да креира, чита, ажурира или брише било који запис.
Пример 6: Циљ Ц (М6 - Одобрење је несигурно)
Апликације треба да избегавају употребу претпостављивих бројева као идентификационе референце.
Пример 7: ПХП (А7 - Цросс Сите Сцриптинг)
Кодирајте све посебне знакове помоћу хтмлспециалцхарс () или хтмлентитиес () [ако је унутар хтмл тагова].
Пример 8: Питхон (А8 - Несигурна десеријализација)
Пицкле и јсонпицкле модул није сигуран, никада га не користите за десериализацију непоузданих података.
Пример 9: Питхон (А9 - Коришћење компонената са познатим рањивостима)
Покрените апликацију са најмање привилегованим корисником
Пример 10: Свифт (М10 - чудна функционалност)
Уклоните скривену позадинску функционалност или друге интерне сигурносне контроле развоја које нису намењене објављивању у производном окружењу.
Пример 11: ВордПресс (КСМЛ-РПЦ онемогућен)
КСМЛ-РПЦ је ВордПресс функција која омогућава пренос података између ВордПресс-а и других система. Данас га је у великој мери заменио РЕСТ АПИ, али је и даље укључен у инсталације ради повратне компатибилности. Ако је омогућено у ВордПрессу, нападач, између осталог, може да изврши грубу силу, пингбацк (ССРФ) нападе.
Закључак
Надамо се овоме "користан мали пост" о веб локацији која се зове «Secure Code Wiki»
, који нуди драгоцен садржај везан за «Добре праксе сигурног кодирања »; је од великог интереса и корисности, у целини «Comunidad de Software Libre y Código Abierto»
и од великог доприноса ширењу дивног, гигантског и растућег екосистема апликација «GNU/Linux»
.
За сада, ако вам се свидело ово publicación
, Не престај поделите то са другима на вашим омиљеним веб локацијама, каналима, групама или заједницама друштвених мрежа или система за размену порука, по могућности бесплатно, отворено и / или сигурније као Telegram, Сигнал, Мастодонт или неко други од Федиверсе, по могућности.
И не заборавите да посетите нашу почетну страницу на «DesdeLinux» да истражите још вести, као и да се придружите нашем званичном каналу Телеграм од DesdeLinux. За више информација можете посетити било који Интернет библиотека као ОпенЛибра y ЈедИТ, за приступ и читање дигиталних књига (ПДФ-ова) на ову тему или других.
Занимљив чланак, требало би да буде обавезан за сваког програмера ..